Prośba o sprawdzenie logów - problemy z wirusem

przez **Lunar** » 20 Sie 2009, 10:00

Po dwóch dniach męczenia się z wirusem (nie jestem pewien czy to przypadkiem z kompuera połączonego lanem nie chciał przemknąć do mnie "tenga"), w końcu przywróciłem wszystko do ładu.

- Nie mogłem wejść na dyski (również się pojawił problem), ale szybko znalazlem temat w googlach, który mi pomógł.
- No więc niby wszystko ładnie działa, ale mam wrażenie, że czegoś nie zrobiłem. Bowiem, kiedy skanowałem wczoraj całego kompa Kasperskym wykrył nieco zagrożeń, których (chyba) nie chce usunąć. Przykładowy plik exe od gadu gadu jest zainfekowany, ale jak teraz ręcznie go skanuję Kasperskym to nic nie wykrywa. Samo się naprawiło? O.o Generalnie rzecz biorąc to nic nie wykazuje żadnym symptomów, a czuwający antywir nie burzy się przy włączaniu poprawnie działających programów. Panikuję nadaremnie jak Kasandra spod Troi?

- W raporcie o zagrożeniach wciąż widnieją (nie czyściłem listy) o tak: http://a.imagehost.org/0107/ScreenShot075.jpg
nie ma możliwości włączenia opcji "wylecz"
- Skanowałem kompa Cureit - nic nie wykrył.
- Ale wciąż czuję nerwa, że czegoś nie zrobiłem, więc zamieszczam log z hajdżaka
http://www.wklej.eu/index.php?id=1d1453b6ad (co usunąć fixem?)
- a OTL jakoś nie chciał mi nic pokazać, w "logu" (chyba) było jedynie to

Kod: Zaznacz wszystko: "OTL by OldTimer - Version 3.0.10.7 log created on 08202009_095929"

Proszę rzucić okiem, czy nie ma tam czegoś brzydkiego, niefajnego.
proście o dowolne logi, wszystko zrobie, by mieć pewność
dziękuję z góry za pomoc i poświęcony czas

przez **mateo8898** » 20 Sie 2009, 10:26

Uruchom Hijackthis

Do a system scan only

w okienku programu pokaże się log

zaznacz kratki przy podanych wpisach

klikasz Fix checked

Kod: Zaznacz wszystko: O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShoppingReport\Bin\2.5.0\ShoppingReport.dll (file missing) O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.3.3.2.dll/206 (file missing)

Pobierz The Avenger zaznacz poniższy tekst:

Kod: Zaznacz wszystko: Folders to delete: C:\Program Files\ShoppingReport

kopiujesz - klikasz na Paste Script from Clipboard - Execute - Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

Po tym dajesz log z RSIT

Jeśli chodzi o to co wykrywa kaspersky - nie są to wirusy, tylko luki w zabezpieczeniach, czyli nieaktualne programy. Wystarczy je zaktualizować do najnowszych wersji lub to po prostu zignorować (ale lepiej zaktualizuj

)

przez **Lunar** » 20 Sie 2009, 10:57

Podczas fixowania wyskoczyło coś takiego brzydkiego (pod sam koniec).
http://a.imagehost.org/0952/ScreenShot076.jpg

ale robię dalej, instaluję avengera

przez **Lunar** » 20 Sie 2009, 11:08

Ok. avenger dokonane & log: http://www.wklej.eu/index.php?id=4e84bd2088
log z RSITa:
http://www.wklej.eu/index.php?id=e485b1dfe5

coś brzydkiego?

Jeśli chodzi o to co wykrywa kaspersky - nie są to wirusy, tylko luki w zabezpieczeniach, czyli nieaktualne programy. Wystarczy je zaktualizować do najnowszych wersji lub to po prostu zignorować (ale lepiej zaktualizuj )

musiałbym być naprawde szalony, by instalować tzw. "Nowe GG" ale chyba będę kiedyś zmuszony ugiąć się pod falą globalizacji i neo-konsumpcjonizmu

przez **mateo8898** » 20 Sie 2009, 11:35

Pokaż ten drugi log z RSIT (log.txt)

przez **Lunar** » 20 Sie 2009, 11:52

http://www.wklej.eu/index.php?id=dc4870c5d6

przez **Lunar** » 20 Sie 2009, 14:52

I jak? Czysto?

przez **mateo8898** » 20 Sie 2009, 15:42

Pobierz The Avenger zaznacz poniższy tekst:

Kod: Zaznacz wszystko: Files to delete: C:\WINDOWS\system32\drivers\ali0eaaz.sys Drivers to delete: ali0eaaz Folders to delete: C:\FOUND.012 C:\FOUND.011 C:\FOUND.010 C:\FOUND.009 C:\FOUND.008 C:\FOUND.007

kopiujesz

klikasz na Paste Script from Clipboard

Execute

Potwierdzasz i zgadzasz się na restart klikając OK.
Po wykonaniu wklej raport na forum C:\avenger.txt

przez **Lunar** » 20 Sie 2009, 15:58

http://www.wklej.eu/index.php?id=73763a235a

chyba jakiś plik nie istniał

przez **Lunar** » 20 Sie 2009, 16:01

Za to przyuważyłem zmianę w tym samym miejscu (nie znam się na tym wszystkim, ale widzę, że plik zmienił chamsko nazwę)

kolejny log z RSIT http://www.wklej.eu/index.php?id=18ba4e79d0

dokładniej o ten fragment chodzi:

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Sterownik procesora Intel; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-03 40320]
R1 KLIF;Kaspersky Lab Driver; C:\WINDOWS\system32\DRIVERS\klif.sys [2009-08-15 226832]
R1 WS2IFSL;Środowisko wspomagające dostawcę usług innych niż IFS - Windows Socket 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-17 12032]
R3 FETNDIS;Sterownik NT karty VIA PCI 10/100Mb Fast Ethernet; C:\WINDOWS\system32\DRIVERS\fetnd5.sys [2001-08-17 27165]
R3 HDAudBus;Microsoft UAA Bus Driver for High Definition Audio; C:\WINDOWS\system32\DRIVERS\HDAudBus.sys [2005-01-07 138752]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\WINDOWS\system32\drivers\RtkHDAud.sys [2006-04-17 4262912]
R3 klim5;Kaspersky Anti-Virus NDIS Filter; C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 nv;nv; C:\WINDOWS\system32\DRIVERS\nv4_mini.sys [2006-10-22 3994624]
R3 usbehci;Sterownik Miniport rozszerzonego kontrolera hosta USB 2.0 Microsoft; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Koncentrator z obsługą USB2; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Sterownik Miniport uniwersalnego kontrolera hosta USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 au0hivft;au0hivft; C:\WINDOWS\system32\drivers\au0hivft.sys []
S3 EL98x;3Com EtherLink 10/100 PCI; C:\WINDOWS\system32\DRIVERS\el98xn5.sys [2001-08-17 70174]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

dobrze mi sie wydaje?

Choć jak patrzę ręcznie, to w folderze nic nie ma (widok ukrytych plików też włączony)
http://a.imagehost.org/0367/ScreenShot077.jpg
co to za zmienny, niesitniejący w dodatku, szit?

przez **mateo8898** » 20 Sie 2009, 17:05

To będzie zapewne sterownik avengera

Nic więcej nie widać.

Pobierz OTC uruchom i wciśnij CleanUp

Przeczyść system oraz rejestr CCleaner

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

Wykonaj pełne skanowanie swoim kasperskim

przez **Lunar** » 20 Sie 2009, 17:52

Jestem na etapie zabawy z CCleanerem
http://a.imagehost.org/0527/ScreenShot079.jpg
te wszystie pliki jak historia w Operze to złe brzydkie rzeczy? ciasteczka? sam nie wiem.

dobra.. poszło wszystko http://a.imagehost.org/0906/ScreenShot080.jpg
w rejestrze znalazło masę luk, złych rozszerzeń, czy ścieżek nieistniejących do niczego brum brum.
Czuję się jakbym sprzedał duszę diabłu
i nie wiem, czy będzie wszystko w porządku, no ale raz się żyje.

Jeszcze tylko wyłączę i włączę przywracanie systemu, o ile się połapię. Ok. to też zrobione.

No to jeszcze tylko skan.

przez **Lunar** » 20 Sie 2009, 21:09

po trzech godzinach skanowania:

http://a.imagehost.org/0800/ScreenShot081.jpg

Flash_disinfectora mi wykrył jako trojana i usunął. Używałem go dziś aby rozwiązać problem z dostawaniem się na dysk.

ale wykrył jeszcze coś brzydkiego
A0069883.exe w dziwnej lokalizacji
nawet nie wiem czy sie go pozbył (jakieś opcyje, czy to zwykła rzecz albo pozostałość po programach antywirusowych/czyszczących rejestr, których dziś używałem?)

no.. ale chyba jest luz.. już nie ma co szukać się wirusów na siłę
dziękuję za pomoc i współpracę

przez **mateo8898** » 20 Sie 2009, 22:35

Lunar napisał(a):ale wykrył jeszcze coś brzydkiego
A0069883.exe w dziwnej lokalizacji
nawet nie wiem czy sie go pozbył (jakieś opcyje, czy to zwykła rzecz albo pozostałość po programach antywirusowych/czyszczących rejestr, których dziś używałem?)

Wyłącz i włącz przywracanie systemu na wszystkich dyskach Instrukcja

I powinno być ok

przez **Lunar** » 22 Sie 2009, 19:50

hm.. chciałbym zakomunikować że dzień po wszystkim najpierw skan disc przycinał i długo trwał..

a potem komp przy włączaniu windowsa strzelał błękitnym ekranem śmierci który nagle z nikał i resetował go

z cudem uratowałem dane na dysku, sformatowałem i zainstalowałem na nowo windowsa

nie wiem co uszkodziło tam kompa, ale w czymś przedobrzyliśmy

Prośba o sprawdzenie logów - problemy z wirusem

Prośba o sprawdzenie logów - problemy z wirusem

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Re: Prośba o sprawdzenie

Kto jest na forum